Authentification moderne hybride (HMA) pour Exchange local

Dynamics 365 peut se connecter aux boîtes aux lettres hébergées sur Exchange Server (local) à l’aide de l’authentification moderne hybride (HMA). La synchronisation côté serveur s’authentifiera par rapport à Microsoft Entra en utilisant un certificat que vous fournissez et stocké en toute sécurité dans Azure Key Vault. Vous devrez établir un enregistrement d’application sécurisé par une clé secrète client pour permettre à Dynamics 365 d’accéder au certificat dans Key Vault. Une fois que Dynamics 365 est en mesure de récupérer le certificat, le certificat sera utilisé pour s’authentifier en tant qu’application spécifique et accéder à la ressource Exchange (local).

Versions Exchange prises en charge

HMA ne sera disponible qu’à partir de Exchange 2013 (CU19+) ou de Exchange 2016 (CU8+). Plus d’informations : Annonce de l’authentification hybride moderne pour Exchange local (blog)

Conditions préalables

Pour déployer HMA avec Dynamics 365, vous devez répondre aux exigences suivantes :

• HMA doit être activé sur Exchange en utilisant l’authentification directe Microsoft Entra ID. Pour plus d’informations :

  • Déploiements hybrides Exchange Server
  • Assistant Configuration hybride
  • Qu’est-ce qu’Microsoft Entra ?
  • Authentification Microsoft Entra ID directe : démarrage rapide
  • Comment configurer Exchange Server local pour utiliser l’authentification moderne hybride

• Un certificat est requis pour ce schéma d’authentification. Vous devez fournir un certificat valide pour configurer la synchronisation côté serveur pour HMA. Il peut être généré directement dans Azure Key Vault ou via le processus de votre entreprise pour générer et télécharger un certificat dans Key Vault.

• Vous avez besoin d’un emplacement Key Vault où le certificat peut être stocké en toute sécurité. Vous devrez également configurer l’enregistrement de l’application avec un AppId et ClientSecret pour permettre à Dynamics 365 d’accéder au certificat. Plus d’informations : Key Vault

configuration

Suivez les étapes ci-dessous pour configurer HMA pour Exchange (local).

Rendre un certificat disponible sur Key Vault

1. Dans le Portail Azure, ouvrez Key Vault et accédez à la section Certificats.

2. Sélectionnez Générer/Importer.

   

3. À ce stade, un certificat peut être généré ou importé. Précisez un nom de certificat, puis sélectionnez Créer.

Le nom du certificat sera utilisé ultérieurement pour référencer le certificat. Dans cet exemple, le certificat est nommé Cert. HMA.

Créer un enregistrement d’application pour l’accès à Key Vault

Créez une inscription d’application dans le portail Azure dans le client où se trouve Key Vault. Pour ces exemples, l’application sera nommée Application KV pendant le processus de configuration. Plus d’informations : Démarrage rapide : enregistrer une application avec la plate-forme d’identité Microsoft

Ajouter une clé secrète client pour l’application KV

La clé secrète client utilisée par Dynamics 365 pour authentifier l’application et récupérer le certificat. Plus d’informations : Ajouter une clé secrète client

Ajouter l’application KV aux stratégies d’accès Key Vault

1. Dans le Portail Azure, ouvrez Key Vault et accédez à la section Stratégies d’accès.

2. Sélectionnez Ajouter une stratégie d’accès.

   

3. Pour Sélectionner le principal, sélectionnez un principal. Pour ces exemples, nous sélectionnons Application KV.

4. Sélectionnez des autorisations. Veillez à ajouter Obtenir l’autorisation sous Autorisations de clé secrète et Autorisations de certificat. Les deux sont nécessaires pour que l’application KV puisse accéder au certificat.

   

5. Cliquez sur Ajouter.

Créer un enregistrement d’application pour l’accès à HMA

Créez une inscription d’application dans le portail Azure dans le client où Exchange est en mode hybride.

Dans cet exemple, l’application sera nommée Application HMA pendant ce processus de configuration et représentera l’application réelle que Dynamics 365 utilisera pour interagir avec les ressources Exchange (local). Plus d’informations : Démarrage rapide : enregistrer une application avec la plate-forme d’identité Microsoft

Ajouter le certificat pour l’application HMA

Il est utilisé par Dynamics 365 pour s’authentifier auprès de votre application HMA. HMA prend uniquement en charge l’utilisation de certificats pour authentifier une application ; par conséquent, un certificat est nécessaire pour ce schéma d’authentification.

Ajoutez le certificat HMA précédemment mis en service dans Key Vault. Plus d’informations : Ajouter un certificat

Ajouter une autorisation API

Pour permettre à l’application HMA d’accéder à Exchange (local), accordez l’autorisation API Office 365 Exchange Online.

1. Dans le Portail Azure, ouvrez Inscriptions des applications et sélectionnez Application HMA.

2. Cliquez sur Autorisations API>Ajouter une autorisation.

   

3. Sélectionnez API utilisées par mon organisation.

4. Saisissez Office 365 Exchange Online, et sélectionnez-le.

5. Sélectionnez Autorisations d’application.

6. Cochez la case full_access_as_app pour permettre à l’application d’avoir un accès complet à toutes les boîtes aux lettres, puis sélectionnez Ajouter des autorisations.

   

   Note

   Si cela ne correspond pas aux besoins de votre entreprise d’avoir une application avec un accès complet à toutes les boîtes aux lettres, l’administrateur Exchange (local) peut définir les boîtes aux lettres auxquelles l’application peut accéder avec la Stratégie d’accès à l’application ou en configurant le rôle ApplicationImpersonation sur Exchange. Pour plus d’informations : Configurer l’emprunt d’identité

7. Sélectionnez Accorder un consentement administrateur.

   

Profil du serveur de messagerie avec type d’authentification moderne hybride (HMA) de Exchange

Avant de créer un profil du serveur de messagerie sur Dynamics 365 à l’aide de l’authentification moderne hybride (HMA) de Exchange, vous devez recueillir les informations suivantes depuis le portail Azure :

• URL EWS : le point de terminaison Exchange Web Services (EWS) où se trouve Exchange (local), qui doit être accessible publiquement à partir de Dynamics 365.

• ID de ressource Microsoft Entra : l’ID de ressource Azure auquel l’application HMA demandera l’accès. Il s’agit généralement de la partie hôte de l’URL du point de terminaison EWS.

• TenantId : ID de client du client avec lequel Exchange (local) est configuré avec l’authentification directe Microsoft Entra ID.

• ID d’application HMA : l’ID d’application pour l’application HMA. Il peut être trouvé sur la page principale pour l’inscription de l’application HMA.

• URI Key Vault : URI du Key Vault utilisé pour le stockage des certificats.

• Key Vault KeyName : nom du certificat utilisé dans Key Vault.

• ID d’application KeyVault : l’ID d’application de l’application KV utilisé par Dynamics pour récupérer le certificat à partir de Key Vault.

• Clé secrète client KeyVault : la clé secrète client pour l’application KV utilisée par Dynamics 365.